Leitfaden für bewährte Praktiken

Schutz von Hochschulnetzwerken vor Cyber-Bedrohungen

Schutz von Hochschulnetzwerken vor Cyber-Bedrohungen
Schutz von Hochschulnetzwerken vor Cyber-Bedrohungen
Sprache zum Herunterladen auswählen
Zugang zum Bericht

Offene Netzwerke und hochwertige Daten stellen für Hochschulen eine erhöhte Cyber-Bedrohung dar

Laut The Privacy Rights Clearinghouse rangiert das Hochschulwesen nach der Medizinbranche an zweiter Stelle, was die Zahl der Datenschutzverletzungen betrifft.

Ein wesentliches Ziel von Hochschuleinrichtungen ist es, den freien Austausch von Informationen zu erleichtern. Daher sind die IT-Systeme auf dem Campus relativ offen und unterstützen Tausende von berechtigten Nutzern, von denen die meisten ihre eigenen Geräte auf den Campus mitbringen. Studierende (und viele Mitarbeiter) neigen dazu, die neuesten Anwendungen und Technologien zu übernehmen, soziale Medien zu nutzen und viele Dateien auszutauschen.

Darüber hinaus erzeugt und sammelt das Hochschulwesen eine Vielzahl von Daten von Studierenden, Lehrkräften, Mitarbeitern und Besuchern. Dazu gehören personenbezogene Daten (PII) wie Namen, Geburtsdaten und Sozialversicherungsnummern, Finanzdaten zu Studiengebühren und Studentendarlehen, geschützte Gesundheitsinformationen (PHI), Unternehmensdaten und operative Daten wie Notenverwaltungssysteme und Forschungsdaten.

Mit ihren offenen Netzwerken, großen Datenmengen und freiem Zugang bieten Hochschuleinrichtungen eine große und durchlässige Angriffsfläche, die sie einer Vielzahl von Cyber-Bedrohungen und -Risiken aussetzt. Man schätzt, dass jede Woche in eine Hochschuleinrichtung eingebrochen wird.

Hinter den meisten Einbrüchen stecken organisierte Kriminelle, aber auch Studenten und andere Parteien greifen manchmal Einrichtungen an, um deren Ruf zu schädigen oder Sicherheitslücken aufzuzeigen. Darüber hinaus betreiben organisierte Kriminelle, Nationalstaaten und skrupellose Unternehmen internationale Spionage und Wirtschaftsspionage.

Forschungseinrichtungen verfügen über beträchtliches geistiges Eigentum, das abgeworben werden kann, z. B. Daten, die zu einem wertvollen neuen Produkt (z. B. einem neuen Medikament) führen könnten oder für Regierungsbehörden von großem Wert sind. So war beispielsweise die technische Abteilung der Pennsylvania State University das Ziel eines mehrjährigen Cyberangriffs, der mit einem ausländischen Akteur in Verbindung gebracht wurde, der es auf die von der US-Marine genutzten Forschungsergebnisse abgesehen hatte. In einem Fall legte der Angriff das Netzwerk der Universität drei Tage lang lahm.

Die Eskalation der Angriffe stellt die Hochschulen vor große Herausforderungen. Sicherheits- und IT-Mitarbeiter sind gezwungen, kritische Prioritäten zu verwalten, die um Zeit und Ressourcen konkurrieren. Die Sicherheitsteams müssen gleichzeitig den Cyberangreifern auf den Fersen bleiben, den offenen Zugang aufrechterhalten und eine Reihe von Vorschriften und Compliance-Anforderungen erfüllen.

Vectra AI bietet Hochschuleinrichtungen eine neue, vollständig automatisierte Sicherheitslösung, die Cyber-Angreifer in Netzwerken in Echtzeit aufspürt, bevor sie Schaden anrichten. Durch die Kombination von Data Science, modernen maschinellen Lerntechniken und Verhaltensanalysen auf der Grundlage künstlicher Intelligenz erkennt die automatisierte Bedrohungserkennungs- und Reaktionsplattform Vectra AI jede Phase eines laufenden Cyberangriffs. Vectra AI unterstützt außerdem das Sicherheitspersonal durch automatisierte Tier-1-Analysen und Informationen, die das tatsächliche Angriffsverhalten aufdecken, so dass Sicherheitsteams schnell handeln können, anstatt manuell nach Bedrohungen zu suchen.

SCHLÜSSELHÖHEPUNKTE

  • Mit ihren offenen Netzwerken, großen Datenmengen und freiem Zugang bieten Hochschuleinrichtungen eine große und durchlässige Angriffsfläche, die sie einer Vielzahl von Cyber-Bedrohungen und -Risiken aussetzt. Schätzungen zufolge wird jede Woche in eine Hochschuleinrichtung eingebrochen.
  • IT-Sicherheitsteams benötigen ein automatisiertes Echtzeitsystem threat hunting , das Einblick in den gesamten Datenverkehr und die Host-Geräte im Netzwerk - einschließlich BYOD- und IoT-Geräte - bietet und jede Phase eines Cyberangriffs erkennen kann, z. B. C&C-Kommunikation, interne Aufklärung, seitliche Bewegungen und Exfiltration.
  • Cognito nutzt künstliche Intelligenz, die Datenwissenschaft, maschinelles Lernen und Verhaltensanalyse in einzigartiger Weise kombiniert, und erkennt alle Phasen eines Angriffs, einschließlich C&C-Kommunikation, interner Aufklärung, seitlicher Bewegung, Datenexfiltration und Botnetz-Monetarisierung.

Herausforderungen für Hochschuleinrichtungen

Hochschulcampus sind wie kleine Städte, in denen viele Studenten leben, eine Vielzahl von Anbietern von Dienstleistungen und viele Besucher. Dieses Umfeld bietet Cyber-Angreifern zahlreiche Möglichkeiten, erfolgreich in Hochschulnetze einzudringen.

Eine kürzlich durchgeführte Analyse von Datenschutzverletzungen, bei denen personenbezogene Daten offengelegt wurden, ergab, dass der Bildungssektor allein in einem Kalenderjahr 1,35 Millionen Identitäten preisgegeben hat.

Große und kleine, öffentliche und private Einrichtungen sind weltweit betroffen. So meldete beispielsweise die University of California, Berkeley, Anfang 2016 einen schwerwiegenden Sicherheitsverstoß, der die Finanzdaten von 80 000 Studenten, Ehemaligen, derzeitigen und ehemaligen Mitarbeitern und Anbietern betraf, deren Daten im System gespeichert waren. Dies war die dritte Sicherheitsverletzung der Universität innerhalb von 18 Monaten.

Auch die University of Central Florida wurde 2016 Opfer einer groß angelegten Datenpanne, bei der die persönlichen Daten von rund 63.000 aktuellen und ehemaligen Studenten, Lehrkräften und Mitarbeitern in Gefahr waren. Die forensische Analyse nach dem Einbruch ergab, dass die Angreifer vor allem die Sozialversicherungsnummern sammeln wollten.

Zu den Einrichtungen, bei denen 2015 größere Sicherheitslücken auftraten, gehören die Harvard University, die Washington State University, die Johns Hopkins University, die University of Connecticut und die University of Virginia.

Zu den größten Bedrohungen gehören:

  • Anhaltende Angriffe, die in Netzwerke eindringen, um sensible Daten zu stehlen oder zu beschädigen, einschließlich personenbezogener Daten, vertraulicher Informationen und Zahlungskartendaten sowie geistiges Eigentum und Forschungsdaten.
  • Malware, einschließlich ransomware.
  • Versteckte Command-and-Control (C&C)-Kommunikation durch entfernte Angreifer.
  • Botnets, Zombie-Angriffe und andere Bedrohungsvektoren.

Cyber-Angreifer dringen auf unterschiedliche Weise erfolgreich in Hochschulnetze ein:

  • Direkte Angriffe auf Studenten, Wissenschaftler, Administratoren, Mitarbeiter und Vermögenswerte, einschließlich BYOD- und IoT-Geräte.
  • Über Smartphones und Computer, die die Besucher mitbringen.
  • Über Drittanbieter, wie z. B. Verpflegungs- und Wartungsunternehmen, die Verträge mit Hochschuleinrichtungen abschließen.

Cyberangriffe werden weitergehen, weil sie für Angreifer lukrativ sind. Leider sind sie für Hochschuleinrichtungen sehr kostspielig: Laut dem Ponemon Institute kostet jeder kompromittierte Datensatz durchschnittlich 225 Dollar.

Wichtige Angriffsvektoren

Ein kurzer Blick auf einige der jüngsten Datenschutzverletzungen macht deutlich, wie groß die Herausforderungen sind, denen sich Hochschuleinrichtungen gegenübersehen.

Phishing Betrug auf dem Vormarsch

Hochschulen und Universitäten melden vermehrt Spear-phishing Vorfälle, bei denen Hacker personalisierte, legitim wirkende E-Mails mit schädlichen Links oder Anhängen versenden.

Anfang 2016 wurden beispielsweise aktuellen und ehemaligen Mitarbeitern des Tidewater Community College (TCC) in Virginia ihre persönlichen Daten im Rahmen eines Betrugs zur Steuersaison phishing gestohlen. Ein Mitarbeiter der Finanzabteilung der Schule erhielt eine Anfrage von einer gefälschten TCC-E-Mail-Adresse, in der er um alle W-2-Informationen der Mitarbeiter gebeten wurde.

Da der Mitarbeiter nicht erkannte, dass die E-Mail gefälscht war, antwortete er mit sensiblen Informationen wie Namen, Einkommen und Sozialversicherungsnummern. Daraufhin meldeten mindestens 16 TCC-Mitarbeiter, dass unter ihren Sozialversicherungsnummern falsche Steuererklärungen eingereicht worden waren.

Ransomware Angriffe

Für Kriminelle ist ransomware ein schneller und einfacher Angriff mit einer größeren Auszahlung als der Diebstahl von persönlichen Daten oder Kreditkarten, die beide nach dem Diebstahl mit der Zeit an Wert verlieren. Hacker setzen zunehmend ransomware ein, um die Daten eines Unternehmens zu sperren und so lange festzuhalten, bis ein Lösegeld gezahlt wird, oft in nahezu unauffindbarem Bitcoin.

Eine neue Umfrage von ransomwareunter rund 20.000 Organisationen in verschiedenen Branchen ergab, dass das Bildungswesen derzeit das größte Ziel ist: Jede zehnte Bildungseinrichtung wurde mit ransomware infiziert. Mehr als 11 % der Bildungseinrichtungen wurden von Nymaim und 4 % von Locky angegriffen.

Ransomware ist ein weltweites Phänomen. Im letzten Jahr wurden beispielsweise Universitäten in England von ransomware schwer getroffen. Die Universität Bournemouth, die ein Cybersicherheitszentrum beherbergt, wurde in den letzten 12 Monaten 21 Mal angegriffen .

Die Angriffe aufransomware sind schnell und einfach und bieten den Angreifern eine sofortige Auszahlung. Laut dem Beazley Breach Insights 2016-Bericht werden sie 2016 voraussichtlich um 250 % zunehmen.

BYOD-Schwachstellen Eine der größten Gefahrenquellen für Hochschulen ist die schiere Menge an persönlichen Laptops, Tablets, Smartphones und anderen Geräten, die Studenten, Lehrkräfte, Lieferanten und Besucher mit auf den Campus bringen. Viele Hochschulen und Universitäten versuchen, die Verwendung von Antivirensoftware durch die Studenten zu erzwingen, aber das ist ein schwieriges Unterfangen. Die Wahrscheinlichkeit, dass sich ein mit malware infiziertes Gerät mit dem Netzwerk verbindet, ist hoch.

IoT-Exploits

Neben BYOD muss sich das Sicherheitspersonal im Hochschulbereich auch mit der wachsenden Zahl von IP-fähigen Geräten befassen, die sich mit ihren Netzwerken verbinden. Wie viele Unternehmen suchen auch Hochschulen nach Möglichkeiten, die Intelligenz von Internet-of-Things (IoT)-Geräten zu nutzen, um das Gebäudemanagement zu optimieren und Kosten zu senken.

So können beispielsweise intelligente Wasser- und Stromzähler sowie Heizungs- und Klimaanlagen die Energiekosten senken und einen Fernzugriff ermöglichen, der Reparaturen vereinfacht. Um die Sicherheit auf dem Campus zu verbessern, setzen viele Einrichtungen Sicherheitseinrichtungen wie Kameras, Zugangskontrollen und andere Überwachungsgeräte ein, die mit dem Netzwerk verbunden sind.

Darüber hinaus bringen Studierende IoT-Geräte auf den Campus mit, darunter Spielkonsolen und Set-Top-Boxen wie Apple TVs, sowie persönliche Geräte wie iWatches und Fitbits.

Leider bieten diese IoT-Geräte einen einfachen Einstiegspunkt für Cyber-Angreifer, die sich dann seitlich durch ein Campus-Netzwerk bewegen können, um PII, PHI, sensible Forschungsdaten und andere Zielobjekte zu finden.

Erkennung von Cyberangriffen im Bildungsnetz

Der hartnäckige, intern gesteuerte Netzwerkangriff ist zur Norm geworden, und Sicherheitsprodukte, -teams und -prozesse müssen sich entsprechend anpassen. In Anbetracht der Tatsache, wie schnell die Täter ihre malware ändern und andere fortschrittliche, anhaltende Bedrohungen (APTs) starten, benötigen Hochschuleinrichtungen eine Netzwerksicherheitslösung, die laufende Angriffe identifiziert und stoppt. IT-Sicherheitsteams benötigen ein automatisiertes Echtzeitsystem threat hunting , das Einblick in den gesamten Datenverkehr und die Host-Geräte im Netzwerk - einschließlich BYOD- und IoT-Geräte - bietet und jede Phase eines Cyberangriffs erkennen kann, z. B. C&C-Kommunikation, interne Aufklärung, seitliche Bewegung und Exfiltration.

Präventionswerkzeuge am Netzwerkrand, wie Firewalls der nächsten Generation, IDS/IPS und malware Sandboxes, tragen dazu bei, Infektionen oder Kompromittierungen zu verhindern. Ausgefeilte Angreifer haben jedoch wiederholt gezeigt, dass sie diese Sicherheitsprodukte am Netzwerkrand umgehen können, deren grundlegende Technologie mehr als 25 Jahre alt ist.

Erschwerend kommt hinzu, dass diese Lösungen, sobald die Angreifer in das Netzwerk eingedrungen sind, blind sind für die Erkundung, seitliche Bewegungen und andere Verhaltensweisen, die Cyberkriminelle nutzen, um die Zielressourcen ausfindig zu machen und auf weitere Hosts zu übertragen.

Ebenso bieten die Sandbox-Technologien von malware einen unvollständigen Ansatz für den Umgang mit APTs, da sie nur kurzzeitig nach infizierendem Verhalten in einer virtuellen Umgebung suchen. Was Sicherheitsteams brauchen, ist eine Lösung, die das gesamte Verhalten im Netzwerk ständig überwacht und analysiert.

Die Erkennung der verräterischen Anzeichen von Cyberangreifern ist von entscheidender Bedeutung, wenn es um IoT-Geräte geht, die als Proxys für die Weiterleitung des Datenverkehrs eines Angreifers in das, aus dem und über das Netzwerk fungieren können. Und wie bereits erwähnt, können IoT-Geräte keine endpoint Sicherheitsagenten ausführen und werden nicht durch IPS-Signaturen geschützt.

Die Herausforderung: Erfüllung von Compliance- und Regulierungsvorgaben

Hochschuleinrichtungen unterliegen einer Vielzahl von Datenschutzbestimmungen und anderen Vorschriften zur Einhaltung von Vorschriften, darunter:

  • Der Family Educational Rights and Privacy Act (FERPA) ist ein Bundesgesetz, das die Privatsphäre von Schülerdaten schützt. FERPA gilt für alle Schulen, die im Rahmen eines entsprechenden Programms des US-Bildungsministeriums Mittel erhalten.
  • Der Health Insurance Portability and Accountability Act (HIPAA), der Einrichtungen dazu verpflichtet, eine Verletzung von PHI-Daten zu melden.
  • Die Vorschriften des Payment Card Industry Data Security Standard (PCI DSS) gelten für Hochschuleinrichtungen, die Zahlungskarten akzeptieren.
  • Die von der Federal Trade Commission (FTC) aufgestellte Safeguards Rule verpflichtet Institute, die Finanzprodukte oder -dienstleistungen anbieten, ein umfassendes schriftliches Informationssicherheitsprogramm mit administrativen, technischen und physischen Sicherheitsvorkehrungen zum Schutz der persönlichen Daten ihrer Kunden zu erstellen. Die FTC ist befugt, Untersuchungen anzustellen und Vollstreckungsmaßnahmen gegen Einrichtungen einzuleiten, die keine angemessenen Datensicherheitsstandards gemäß der Safeguards Rule einhalten.

Angesichts ihrer offenen Umgebungen stehen Hochschuleinrichtungen aller Art vor gewaltigen Herausforderungen in Bezug auf Datenschutz und Compliance.

Hochschuleinrichtungen benötigen eine Sicherheitsplattform, die es ihnen ermöglicht, schnell und einfach auf spezielle Compliance-Fragen zu reagieren.

Umfassende Einblicke in das Verhalten des gesamten Netzwerkverkehrs, der mit Host-Geräten verbunden ist, sind notwendig, um die Einhaltung einer breiten Palette von technischen Kontrollen zu dokumentieren - von der Nachverfolgung von Anlagen und der Meldung von Sicherheitsvorfällen bis hin zum Schutz vor Datenverlusten - und um nachzuweisen, dass die Kontrollen funktionieren.

Sicherheits- und Compliance-Teams sollten nach einer Sicherheitslösung suchen, die den gesamten Netzwerkverkehr, sowohl intern als auch vom/zum Internet, von allen Geräten, einschließlich BYOD und IoT, kontinuierlich überwacht und ihnen ermöglicht, die gewünschten Compliance-Daten bei Bedarf abzurufen.

Die Herausforderung: Schutz von Vermögenswerten im Zeitalter der Verschlüsselung

Da der Schutz der Privatsphäre von entscheidender Bedeutung ist, verschlüsseln Hochschuleinrichtungen immer mehr Datenverkehr in ihren Netzwerken, darunter Studentenunterlagen, persönliche und vertrauliche Informationen sowie Zahlungsdaten. Die Verschlüsselung bietet zwar einen gewissen Schutz für den sensiblen Datenverkehr, macht ihn aber auch für viele netzbasierte Sicherheitslösungen unsichtbar - ein Umstand, der Angreifern durchaus bewusst ist.

Leider setzen raffinierte Angreifer auch eine Vielzahl von Verschlüsselungsmethoden ein, von Standard-SSL/TLS bis hin zu individuelleren Schemata, um ihren bösartigen Code und ihre Aktivitäten zu verbergen, insbesondere ihren C&C- und Exfiltrationsverkehr. Darüber hinaus werden immer häufiger versteckte Tunnel verwendet, wobei Cyberkriminelle HTTPS gegenüber anderen Protokollen bevorzugen, um ihre Angriffskommunikation zu verschleiern.

Obwohl einige Unternehmen Man-in-the-Middle-Techniken verwenden, um den ausgehenden Datenverkehr zu entschlüsseln und zu überprüfen, haben Universitäten und Fachhochschulen diese Möglichkeit aufgrund strenger Datenschutzgesetze, die die Überprüfung verschlüsselter Datensätze und anderer sensibler Daten untersagen, oft nicht. Die Entschlüsselung des Datenverkehrs fordert außerdem einen hohen Tribut an die Anwendungsleistung, was sie bei den Benutzern unbeliebt macht.

Darüber hinaus untergraben viele Online-Diensteanbieter, darunter auch Google, die Verwendung von Zertifikats-Pinning, einer Technik, die von Unternehmen zunehmend eingesetzt wird, um Man-in-the-Middle-Angriffe auf Websitzungen zu vereiteln.

Um Angreifer, die gültige Zertifikate gestohlen haben, abzuschrecken, vertrauen Google und andere Anbieter nur den Zertifikaten einer bestimmten vertrauenswürdigen Stammzertifizierungsstelle und nicht jeder anerkannten Zertifizierungsstelle. Dadurch werden die von vielen Sicherheitsteams verwendeten Man-in-the-Middle-Entschlüsselungsmethoden gebrochen.

Um mit verschlüsselten Bedrohungen fertig zu werden, brauchen Sicherheitsteams eine Möglichkeit, bösartiges Angriffsverhalten zu erkennen, ohne Pakete zu entschlüsseln und die Nutzdaten zu inspizieren. Dies erfordert einen neuen Ansatz für die Netzwerksicherheit, der auf der Analyse von Verkehrsverhalten und -mustern über alle Anwendungen, Betriebssysteme und Geräte hinweg basiert, um die grundlegenden Aktionen von Angreifern im Netzwerkverkehr, auch im verschlüsselten Verkehr, aufzudecken.

Künstliche Intelligenz, die Datenwissenschaft, maschinelles Lernen und Verhaltensanalyse nutzt, wird benötigt, um versteckte Tunnel, Daten, die die Umgebung verlassen, malware , die C&C-Anweisungen erhalten, externe Angreifer, die Remote-Zugriffstools verwenden, und Angreifer, die malware Updates liefern, zu identifizieren und zu überwachen.

Die Verhaltensanalyse kann schnell zwischen menschlichem und maschinellem Datenverkehr unterscheiden. Diese Fähigkeit kann einen Angreifer, der ein Remote-Administrationstool verwendet, aufdecken, indem sie offenbart, dass das, was wie eine Endbenutzerverbindung aussieht, in Wirklichkeit eine Verbindung ist, die von einem Außenstehenden ferngesteuert wird.

Herausforderung: Sicherheitsteams haben eine Menge zu tun

Die meisten Sicherheitsprodukte machen der IT-Abteilung viel Arbeit, da die Mitarbeiter viele Tausende von Warnmeldungen durchsehen müssen, um echte Bedrohungen zu erkennen. In vielen Netzwerken ist es üblich, 50 Warnungen pro Minute zu erhalten.

Mit schlanken Sicherheitsteams ist es nicht möglich, diese riesigen Datenmengen zu sichten und zu interpretieren, die schwerwiegendsten Bedrohungen zu identifizieren und Angriffe abzuwehren, bevor sie sich ausbreiten und Schaden anrichten.

Im Vormetric Data Threat Report 2016, einer Umfrage unter mehr als 1.100 leitenden Sicherheitsverantwortlichen aus der ganzen Welt, nannten 57 % der Befragten die Komplexität als größtes Hindernis für eine breitere Akzeptanz von Datensicherheitstools und -techniken.

Personalmangel war das zweithäufigste Hindernis, das von 38 % der Befragten genannt wurde. In der Studie heißt es weiter, dass "ein chronischer und wachsender Mangel an qualifiziertem Sicherheitspersonal" in der gesamten Branche ein Problem darstellt.

Hochschuleinrichtungen benötigen eine Netzwerksicherheitslösung, die das überlastete IT-Personal entlastet, anstatt mehr Arbeit zu verursachen.

Dies erfordert eine umfassende Lösung, die einfach zu implementieren ist und die Erkennung von Bedrohungen in Echtzeit sowie die Erstellung von Berichten automatisiert.

Insbesondere Sicherheitsteams benötigen eine Lösung, die die Abläufe optimiert, indem sie die riesigen Mengen an sicherheitsrelevanten Daten auf einfache, umsetzbare Informationen reduziert und die Aufmerksamkeit der Mitarbeiter auf die tatsächlich stattfindenden Angriffe lenkt, indem sie die physischen Geräte im Zentrum eines Angriffs lokalisiert und die Mitarbeiter alarmiert, wenn eine hohe Bedrohung vorliegt.

Vectra AI erkennt laufende Angriffe und rationalisiert die Abläufe

Vectra AI ermöglicht es Hochschuleinrichtungen, Bedrohungen schnell zu erkennen und darauf zu reagieren, bevor Schaden angerichtet wird. Vectra AI setzt dort an, wo die Perimetersicherheit aufhört, und bietet eine tiefgreifende, kontinuierliche Analyse des internen und Internet-Datenverkehrs und erkennt die grundlegenden Aktionen und Verhaltensweisen, die Angreifer ausführen müssen, wenn sie das Netzwerk ausspähen und sich auf der Suche nach wertvollen Vermögenswerten ausbreiten.

Durch den Einsatz künstlicher Intelligenz, die Datenwissenschaft, maschinelles Lernen und Verhaltensanalyse auf einzigartige Weise kombiniert, erkennt Vectra AI alle Phasen eines Angriffs, einschließlich C&C-Kommunikation, interner Aufklärung, seitlicher Bewegung, Datenexfiltration und Botnetz-Monetarisierung.

Der Vectra Threat Certainty Index™ konsolidiert automatisch alle Erkennungen und vergibt Punktzahlen, die in Echtzeit anzeigen, welche Hosts die größte Bedrohung darstellen. So können sich Sicherheitsteams sofort auf die Erkennungen mit dem höchsten Risiko konzentrieren.

Vectra AI lernt auch die natürlich vorkommenden Verhaltensmuster im Netzwerk eines Unternehmens kennen und stellt eine visuelle Karte der Beziehung zwischen Bedrohungen, Hosts und wichtigen Werten wie PII in Schülerakten bereit.

Mit Vectra AI können Hochschuleinrichtungen schnell und einfach Herausforderungen in den Bereichen Sicherheit, Einhaltung von Vorschriften und Personal bewältigen. So half Vectra AI beispielsweise der Barry University, einen laufenden Angriff zu stoppen, als die Einrichtung Opfer einer phishing Kampagne wurde.

Als Einzelpersonen auf die bösartigen E-Mails klickten, sahen die IT-Mitarbeiter endpoint Schutzwarnungen. Vectra AIDie Echtzeit-Überwachung des Systems zeigte, dass ein gezielter Angriff im Gange war, so dass das Sicherheitsteam den Angriff stoppen und den Datendiebstahl verhindern konnte.

Auseinandersetzung mit der dynamischen Bedrohungslandschaft von heute

Vectra AI überwacht den gesamten Netzwerkverkehr von allen Geräten - sowohl den internen Datenverkehr innerhalb des Netzwerks als auch den Datenverkehr, der ins und aus dem Internet geht. Es funktioniert auch über alle Anwendungen und Betriebssysteme sowie BYOD- und IoT-Geräte.

Durch die Kombination von maschinellem Lernen, Datenwissenschaft und Verhaltensanalyse erkennt Vectra AI das Angriffsverhalten bekannter und bisher unbekannter Bedrohungen in jedem Stadium der gesamten Angriffsfläche eines Unternehmens. Erkannte Bedrohungen werden automatisch korreliert, bewertet und priorisiert, sodass Sicherheitsteams Angriffe umgehend stoppen und ihre Auswirkungen mindern können.

Vectra AI ist insofern einzigartig, als es die grundlegenden Verhaltensweisen von Cyberangriffen aufdeckt, wie z. B. die interne Aufklärung, die interne Verbreitung von malware, den Missbrauch von Zugangsdaten, die Exfiltration von Daten, die Aktivitäten von ransomware und eine Vielzahl von C&C und anderen versteckten Kommunikationsmitteln.

Zum Beispiel bietet Vectra AI mehrere Möglichkeiten, ransomware in Aktion zu erkennen, einschließlich der Erkennung:

  • C&C-Kommunikation.
  • Das malware Update von ransomware Binärdateien auf infizierten Rechnern.
  • Die interne Suche und Überprüfung von Dateifreigaben.
  • Diebstahl von Administrator-Anmeldedaten zur Ausweitung von Privilegien.
  • Die ransomware Datei-Verschlüsselungsaktivität selbst.

Da Vectra AI Muster im Datenverkehr erkennt, müssen keine Pakete geknackt werden, um zu sehen, was sich darin befindet, so dass der Datenschutz für verschlüsselten Datenverkehr gewahrt bleibt. Vectra AI verwendet mathematische Modelle und führt eine hochentwickelte Analyse des Netzwerkverkehrs durch, um das Vorhandensein von versteckten Tunneln im HTTP-, HTTPS- und DNS-Verkehr zu erkennen.

Vectra AI liefert den Nachweis für technische Kontrollen in mehreren grundlegenden Bereichen.

In ähnlicher Weise nutzt Vectra AI Datenwissenschaft, maschinelles Lernen auf Paketebene und Verhaltensanalyse, um das Vorhandensein von externem Fernzugriff zu erkennen, sogar bösartige Fernzugriffstools, die angepasst oder der Sicherheitsbranche unbekannt sind.

Rationalisierung der Abläufe und Zeitersparnis für das Personal

Da die Zeit von Sicherheitsanalysten sehr knapp bemessen ist, ist Vectra AI so konzipiert, dass es einfach zu implementieren und zu verwenden ist. Die Automatisierung spielt eine zentrale Rolle.

Vectra AI automatisiert die mühsame, manuelle Arbeit, die mit der Arbeit eines Tier-1-Sicherheitsanalysten verbunden ist, und konsolidiert riesige Mengen von Bedrohungsdaten auf einfache, umsetzbare Antworten, die Zeit, Mühe und Geld sparen.

Diese Automatisierung bietet zwei Vorteile: Die Mitarbeiter können Untersuchungen in kürzerer Zeit durchführen und Mitarbeiter ohne Fachkenntnisse können mehr Untersuchungen durchführen. Vectra-Kunden haben berichtet, dass sie 75-90 % weniger Zeit für die Untersuchung von Bedrohungen aufwenden müssen und die Analyse erfolgreich auf IT-Generalisten verlagert haben, anstatt einfache Untersuchungen an höher bezahlte Experten zu eskalieren.

Vectra AI identifiziert physische Hosts im Zentrum eines Angriffs und verfolgt und bewertet Bedrohungen automatisch im Kontext über die gesamte Dauer des Angriffs

Vectra AI identifiziert physische Hosts im Zentrum eines Angriffs und verfolgt und bewertet Bedrohungen automatisch im Kontext über die gesamte Dauer des Angriffs. Der Vectra Threat Certainty Index zeigt Warnungen an, sodass Sicherheitsteams sofort wissen, welche Netzwerk-Hosts mit Angriffsindikatoren das größte Risiko mit dem höchsten Grad an Sicherheit darstellen.

Die Details eines Angriffs sind nur einen Mausklick entfernt, so dass die Mitarbeiter die Metadaten der genauen Pakete zwischen dem angegriffenen Host und anderen internen Ressourcen oder externen Parteien, mit denen er kommuniziert, leicht einsehen und entsprechend reagieren können.

Externe Fernzugriffserkennung
Externe Fernzugriffserkennung
Erkennung von Datenschmugglern auf der Plattform Vectra AI
Erkennung von Datenschmugglern

Vectra AI ermöglicht es Sicherheitsteams auch, geschützte Datenbanken, medizinische Aufzeichnungen, Kreditkartendatenbanken und andere kritische Daten zu markieren, damit sie Bedrohungen im Kontext der Zieldaten sehen und die potenziellen Auswirkungen eines Angriffs vorhersagen können.

Darüber hinaus macht es Vectra AI einfach, Bedrohungsdaten mit anderen Teammitgliedern und Systemen zu teilen. Sicherheitsteams können automatisch per E-Mail benachrichtigt werden, wenn Geräte bestimmte Schwellenwerte für Bedrohungen oder Sicherheitsbewertungen erreichen.

Und schließlich ermöglicht eine robuste API die Integration von Vectra AI mit anderen Sicherheitslösungen von Drittanbietern, wie SIEMs, endpoint Sicherheit der nächsten Generation, Verkehrsoptimierung und Firewalls der nächsten Generation. Die Integration von Syslog- und Common Event Format (CEF)-Protokollen versorgt SIEMs beispielsweise mit vorkorrelierten Vectra-Erkennungen und Host-Scores.

Vollständige Transparenz gewährleistet Kenntnis des Geschäftsrisikos

Passiver interner Einsatz

  • Nutzung von TAP oder SPAN
  • E-W- und N-S-Sichtbarkeit des Verkehrs
  • Sieht alle Phasen des Verhaltens

Verfolgt dauerhaft alle Geräte

  • Jedes Betriebssystem, BYOD, IoT

Schützt ohne Aufhebeln

  • Verhaltensmodelle finden Bedrohungen, ohne die Nutzlast zu untersuchen
  • Bedrohungen in SSL ohne Entschlüsselung finden
"Der Vorteil von Vectra ist, dass wir mehr Informationen über die Bedrohungen erhalten und dass die Daten automatisiert und verwertbar sind. Wir haben keine 30 bis 40 Sicherheitsingenieure, also müssen wir clever sein." Bryan McClenahan Senior Information Security Analyst, Santa Clara Universität

Bereitstellung von Compliance-Daten auf Anfrage

Durch die vollständige Transparenz des gesamten Netzwerkverkehrs und die Fähigkeit, jede Phase eines laufenden Angriffs zu erkennen, ist Vectra AI eine ideale Plattform, um die Einhaltung einer breiten Palette technischer Kontrollen zu dokumentieren.

Vectra AI liefert klare, intuitive Analysen und bietet mit einem Mausklick Zugriff auf alle Belege, so dass die Mitarbeiter schnell und einfach auf alle Datenanfragen von Aufsichtsbehörden reagieren können.

Durch die kontinuierliche Verfolgung aller Zielobjekte und die Erstellung von Berichten macht es Vectra AI einfach, die Einhaltung von Richtlinien zu dokumentieren. Da Vectra AI auch versteckte Tunnel und Datenexfiltrationsverhalten von Angreifern überwacht und erkennt, ist es einfach, die Compliance-Bemühungen zur Vermeidung von Datenverlusten zu dokumentieren.

Mit Vectra AI können Sicherheitsteams dank einer leistungsstarken Reporting-Engine sowohl Berichte im Handumdrehen erstellen als auch die regelmäßige Erstellung bestimmter Berichte planen. Die Berichte können sich auf einen beliebigen Zeitraum, einen Teil des Netzwerks, einen Host oder eine Erkennung konzentrieren. Mit erweiterten Filterfunktionen können bestimmte Daten hervorgehoben werden, z. B. alle Hosts mit Bedrohungswerten über 50.

Screenshot mit Filterereignissen auf der Grundlage von Bedrohungen für das Netzwerk und spezifischen Kontrollen für Angriffsphasen (malware, laterale Bewegung, Datenverlust)
Einfaches Dokumentieren von Kontrollen auf der Grundlage der Art der Bedrohung
Berichte über alle Hosts oder solche mit bestimmten Risikostufen und Berichte über alle Hosts, wichtige Anlagen oder beliebige benutzerdefinierte Kategorien
Verfolgt dauerhaft alle Geräte unabhängig von Gerätetyp oder Betriebssystem

Hochschuleinrichtungen werden auch in Zukunft ein Hauptziel von Cyber-Angreifern sein

Vectra AI rüstet Sicherheitsteams mit einer automatisierten Lösung aus, die in Echtzeit arbeitet, um bekannte und unbekannte Cyberangriffe in jedem Netzwerk in der sich ständig weiterentwickelnden Bedrohungslandschaft schnell zu erkennen.

Mit der einzigartigen Fähigkeit, Cyberangriffe auf Netzwerke zu erkennen und zu entschärfen, während sie stattfinden, ermöglicht Vectra AI den Sicherheitsteams, mit beispielloser Geschwindigkeit, Genauigkeit und Effizienz zu reagieren - lange bevor die Bösewichte sensible Daten oder wichtige Forschungsergebnisse stehlen können.

Ebenso verschafft Vectra AI den Sicherheitsteams einen beispiellosen Einblick in das Verhalten bösartiger Angreifer im Netzwerk und automatisiert die Jagd nach Cyber-Angreifern. Gleichzeitig können Unternehmen schnell und einfach auf Audits reagieren und haben mehr Zeit, sich auf die Sicherheit ihrer wichtigsten Ressourcen zu konzentrieren.

Weltweites Vertrauen bei Experten und Unternehmen

Häufig gestellte Fragen